Исследователь опубликовал эксплойт уязвимости нулевого дня для Windows назло Microsoft

Исследователь кибербезопасности опубликовал эксплойт для неисправленной уязвимости в Windows. Проблема позволяет получить права SYSTEM или расширенные административные привилегии. Уязвимость получила название BlueHammer.

По словам исследователя, сначала он отправил отчёт в Microsoft через закрытые каналы, как и полагается при ответственном раскрытии найденной уязвимости. Однако он счёл несоответствующим серьёзности проблемы процесс обработки в Центре реагирования на угрозы безопасности Microsoft. В итоге ИБ-эксперт решил опубликовать эксплойт в открытом доступе. На момент написания новости патча для проблемы или обновления для исправления найденной бреши нет. По определению Microsoft, это считается zero-day-уязвимостью.

Пользователь под ником Chaotic Eclipse заявил, что он не блефовал при отправке уязвимости в Microsoft и может повторить свои действия. В своём сообщении он иронически поблагодарил руководство Центра реагирования на угрозы безопасности Microsoft за то, что довели ситуацию до такого финала.

Также Chaotic Eclipse 3 апреля 2026 года выложил репозиторий с кодом эксплойта на GitHub под другим ником — Nightmare-Eclipse. В описании исследователь выразил недоумение решением компании и отметил, что не понимает логику действий Microsoft. Он предупредил, что код содержит баги, которые могут помешать стабильной работе эксплойта.

Одни специалисты подтвердили работоспособность эксплойта. Новая брешь — это локальное повышение привилегий через комбинацию TOCTOU и неточности в путях. Эксплуатация требует определённых усилий, но обеспечивает доступ к базе Security Account Manager, где хранятся хеши паролей локальных учётных записей. С таким доступом можно повысить привилегии до SYSTEM и получить практически полный контроль над машиной. Эксперты пояснили, что на этом этапе атакующий может, например, запустить командную оболочку с максимальными правами.

Несколько других исследователей протестировали эксплойт на Windows Server — код не сработал, что подтверждает заявление автора о наличии в нём ошибок. Однако на серверной платформе BlueHammer эксплойт действительно повышает права с обычного пользователя до расширенного администратора. Данный механизм защиты требует временного подтверждения для операций, нуждающихся в полном доступе к системе.

Исследователи выдвигают различные гипотезы, объясняющие причины раскрытия уязвимости. По мнению некоторых из них, такое поведение Chaotic Eclipse может быть связано с тем, что Центр реагирования на угрозы безопасности Microsoft требует предоставлять видеодемонстрацию эксплойта при подаче отчёта. Это действие упрощает обработку сообщений для компании, но усложняет работу исследователей.

Представитель Microsoft пояснил, что компания расследует сообщения о проблемах безопасности и обновляет затронутые устройства максимально быстро, а также поддерживает координированное раскрытие уязвимостей. Корпорация помогает тщательно изучить и устранить проблемы до публичного раскрытия, что защищает клиентов и сообщество исследователей ИБ.